Der Browser ist die Sandbox

 (simonwillison.net)
1 Punkte von GN⁺ 2026-01-28 | Noch keine Kommentare. | Auf WhatsApp teilen
  • Der Webplattform-Entwickler Paul Kinlan untersucht das Potenzial des Browsers als sichere Ausführungsumgebung für Coding Agents
  • Er weist darauf hin, dass Browser bereits über eine leistungsfähige Sandbox-Struktur verfügen, um nicht vertrauenswürdigen Code auszuführen
  • Um das zu überprüfen, erstellte er eine Demo namens Co-do, in der er Dateizugriff, Netzwerkkommunikation und Codeausführung vollständig im Browser erprobte
  • Co-do nutzt die File System Access API, CSP-Header und <iframe sandbox> sowie WebAssembly in Web Workers
  • Das ist ein Beispiel dafür, dass sich der Browser auch ohne lokale Container zu einer Ausführungsumgebung für AI Agents entwickeln kann

Die Perspektive auf den Browser als Sandbox

  • Paul Kinlan von Google kam zu dem Schluss, dass für die Ausführung von Coding Agents eine leistungsfähige Sandbox-Umgebung nötig ist
    • Er betont, dass sich der Browser in den vergangenen 30 Jahren zu einer Plattform entwickelt hat, auf der schädlicher oder nicht vertrauenswürdiger Code sicher ausgeführt werden kann
    • Diese Eigenschaft ist die Grundlage dafür, den Browser als Ausführungsumgebung für Agents zu nutzen

Drei Kernelemente einer browserbasierten Sandbox

  • Kinlan nennt drei Kernelemente einer Sandbox: Zugriff auf das Dateisystem, Kontrolle des Netzwerkzugriffs und sichere Codeausführung
    • Die File System Access API bietet Funktionen zum Arbeiten mit lokalen Dateien im Browser und gilt derzeit als nur in Chrome verfügbar
    • Über CSP(Content Security Policy)-Header und das Attribut <iframe sandbox> lässt sich der Netzwerkzugriff steuern
    • Mit WebAssembly und Web Workers kann Code in einer isolierten Umgebung ausgeführt werden

Aufbau und Funktionen der Co-do-Demo

  • Zur Überprüfung von Kinlans Idee wurde eine Demo-Anwendung namens Co-do entwickelt
    • Nutzer wählen einen Ordner aus und konfigurieren den LLM-Anbieter sowie den API-Schlüssel
    • Co-do interagiert über per CSP erlaubte API-Aufrufe mit dem LLM und bietet eine Chat-Oberfläche, die mit Dateien arbeiten kann
    • Diese Struktur ähnelt Claude Cowork, läuft aber ausschließlich im Browser und ohne große lokale Container

Grenzen von <iframe sandbox> und Sicherheitstechniken

  • Als zentrales Problem wird die mangelhafte Dokumentation von <iframe sandbox> genannt
    • Die Implementierung unterscheidet sich stark zwischen Browsern, und es gibt nur wenig dazugehörige Dokumentation
    • Kinlan stellt eine Methode vor, bei der über eine Double-Iframe-Technik Netzwerkregeln auf den inneren Frame angewendet werden

Weitere Erkenntnisse und Experimente

  • Es wurde bestätigt, dass das Attribut <input type="file" webkitdirectory> in Firefox, Safari und Chrome funktioniert
    • Dadurch kann der Browser schreibgeschützten Zugriff auf ein gesamtes Verzeichnis erhalten
    • Um das zu testen, wurde eine webkitdirectory-Demo erstellt, die auch in künftigen Projekten genutzt werden soll

Fazit

  • Der Browser hat sich bereits zu einer ausgereiften Plattform für Sicherheitsisolation und Codeausführung entwickelt
  • Das Beispiel Co-do liefert experimentelle Belege dafür, dass sich der Browser zur Ausführungsumgebung für AI-Coding-Agents erweitern lässt

Verwandte Beiträge

Noch keine Kommentare.

Noch keine Kommentare.